Brug af maskinlæring til at jagte cyberkriminelle

Kapring af IP-adresser er en stadig mere populær form for cyberangreb. Dette gøres af en række årsager, fra at sende spam og malware til at stjæle Bitcoin. Det anslås, at alene i 2017, routinghændelser som IP -kapringer påvirkede mere end 10 procent af alle verdens routingsdomæner. Der har været store hændelser hos Amazon og Google og endda i nationalstater-en undersøgelse sidste år antydede, at et kinesisk teleselskab brugte metoden til at indsamle efterretninger om vestlige lande ved at omdirigere deres internettrafik gennem Kina.

Eksisterende bestræbelser på at opdage IP -kapringer har en tendens til at se på specifikke sager, når de allerede er i gang. Men hvad nu hvis vi på forhånd kunne forudsige disse hændelser ved at spore tingene tilbage til kaprerne selv?

Det er tanken bag et nyt maskinlæringssystem udviklet af forskere ved MIT og University of California i San Diego (UCSD). Ved at belyse nogle af de fælles kvaliteter ved det, de kalder "seriekaprere, "teamet uddannede deres system til at kunne identificere cirka 800 mistænkelige netværk - og fandt ud af, at nogle af dem havde kapret IP -adresser i årevis.

"Netværksoperatører skal normalt håndtere sådanne hændelser reaktivt og fra sag til sag, gør det let for cyberkriminelle at fortsætte med at trives, "siger hovedforfatter Cecilia Testart, en kandidatstuderende ved MIT's datalogi og kunstig intelligenslaboratorium (CSAIL), der vil præsentere papiret på ACM Internet Measurement Conference i Amsterdam den 23. oktober. "Dette er et vigtigt første skridt i at kunne kaste lys over seriekaprernes adfærd og proaktivt forsvare sig mod deres angreb. "

Papiret er et samarbejde mellem CSAIL og Center for Applied Internet Data Analysis på UCSD's Supercomputer Center. Papiret blev skrevet af Testart og David Clark, en senior forsker i MIT, sammen med MIT postdoc Philipp Richter og datavidenskabsmand Alistair King samt forsker Alberto Dainotti fra UCSD.

Arten af ​​nærliggende netværk

IP -kaprere udnytter en central mangel i Border Gateway Protocol (BGP), en routingsmekanisme, der i det væsentlige tillader forskellige dele af internettet at tale med hinanden. Gennem BGP, netværk udveksler routingsinformation, så datapakker finder vej til den korrekte destination.

I en BGP -kapring, en ondsindet skuespiller overbeviser nærliggende netværk om, at den bedste vej til at nå en bestemt IP -adresse er via deres netværk. Det er desværre ikke særlig svært at gøre, da BGP ikke selv har nogen sikkerhedsprocedurer til at validere, at en meddelelse faktisk kommer fra det sted, den siger, at den kommer fra.

"Det er som et spil telefon, hvor du ved, hvem din nærmeste nabo er, men du kender ikke naboerne fem eller ti noder væk, "siger Testart.

I 1998 havde det amerikanske senats første gang cybersikkerhedshøring et team af hackere, der hævdede, at de kunne bruge IP-kapring til at fjerne Internettet på under 30 minutter. Dainotti siger, at mere end 20 år senere, manglen på implementering af sikkerhedsmekanismer i BGP er stadig en alvorlig bekymring.

For bedre at lokalisere serielle angreb, gruppen trak først data fra flere års værdien af ​​netværksoperatørens mailinglister, samt historiske BGP -data taget hvert femte minut fra den globale routingtabel. Fra det, de observerede særlige kvaliteter hos ondsindede aktører og uddannede derefter en machine-learning-model til automatisk at identificere sådan adfærd.

Systemet markerede netværk, der havde flere nøgleegenskaber, især med hensyn til arten af ​​de specifikke blokke af IP -adresser, de bruger:

• Flygtige ændringer i aktiviteten:Kaprernes adresseblokke ser ud til at forsvinde meget hurtigere end i legitime netværk. Den gennemsnitlige varighed af et markeret netværks præfiks var under 50 dage, sammenlignet med næsten to år for legitime netværk.
• Flere adresseblokke:Seriekaprere har en tendens til at annoncere for mange flere blokke af IP -adresser, også kendt som "netværksprefikser".
• IP -adresser i flere lande:De fleste netværk har ikke udenlandske IP -adresser. I modsætning, for de netværk, serielkaprere annoncerede, at de havde, de var meget mere tilbøjelige til at blive registreret i forskellige lande og kontinenter.

Identificering af falske positive

Testart sagde, at en udfordring i udviklingen af ​​systemet var, at begivenheder, der ligner IP -kapringer, ofte kan være et resultat af menneskelige fejl, eller på anden måde legitim. For eksempel, en netværksoperatør kan bruge BGP til at forsvare sig mod distribuerede denial-of-service-angreb, hvor der kommer enorme mængder trafik til deres netværk. Ændring af ruten er en legitim måde at lukke angrebet på, men det ser stort set identisk ud med en egentlig kapring.

På grund af dette problem, holdet måtte ofte manuelt springe ind for at identificere falske positiver, som tegnede sig for omtrent 20 procent af de tilfælde, der blev identificeret af deres klassifikator. Bevæger sig fremad, forskerne er håbefulde om, at fremtidige iterationer vil kræve minimalt menneskeligt tilsyn og i sidste ende kan blive indsat i produktionsmiljøer.

"Forfatternes resultater viser, at tidligere adfærd tydeligvis ikke bruges til at begrænse dårlig adfærd og forhindre efterfølgende angreb, "siger David Plonka, en senior forsker ved Akamai Technologies, der ikke var involveret i arbejdet. "En implikation af dette arbejde er, at netværksoperatører kan tage et skridt tilbage og undersøge global internetrouting på tværs af år, snarere end bare nærsynet at fokusere på individuelle hændelser. "

Da folk i stigende grad stoler på Internettet for kritiske transaktioner, Testart siger, at hun forventer, at IP -kapringens potentiale for skader kun bliver værre. Men hun håber også, at det kan blive vanskeligere ved nye sikkerhedsforanstaltninger. I særdeleshed, store rygradnetværk som AT&T har for nylig annonceret vedtagelsen af ​​ressource -offentlig nøgleinfrastruktur (RPKI), en mekanisme, der bruger kryptografiske certifikater til at sikre, at et netværk kun annoncerer sine legitime IP -adresser.

"Dette projekt kunne fint supplere de eksisterende bedste løsninger for at forhindre misbrug, herunder filtrering, antispoofing, koordinering via kontaktdatabaser, og deling af routingspolitikker, så andre netværk kan validere det, "siger Plonka." Det gjenstår at se, om fejlbehæftede netværk fortsat vil være i stand til at spille sig frem til et godt ry. Men dette arbejde er en fantastisk måde at enten validere eller omdirigere netværksoperatørfællesskabets bestræbelser på at sætte en stopper for disse nuværende farer. "

Denne historie er genudgivet med tilladelse fra MIT News (web.mit.edu/newsoffice/), et populært websted, der dækker nyheder om MIT -forskning, innovation og undervisning.